UNI•Login kan bruges både til gratis tjenester og til tjenester, som institutionerne kan abonnere på.

UNI•Login bruges til adgangsstyring i forbindelse med webtjenester, mobile apps, læringsplatforme, intranet, skolernes lokalnet og trådløse net, hvor brugerne skal sikres nem adgang. Mere end en million børn, unge og ansatte er registrerede brugere med cpr-nummer i UNI•Login.

Med UNI•Login anvender brugerne kun ét login til tjenester og systemer tilknyttet UNI•Login. Med UNI•Login har elever og institutionsansatte fået et fælles login til alle relevante tjenester.
Brugeroplysningerne er afgørende for, hvad brugeren kan få adgang til.

UNI•Login udgør en del af den fælles infrastruktur i Brugerportalsinitiativet (BPI).

Det er forskelligt, hvilke oplysninger tjenesterne autoriserer ud fra. Det vil typisk være ud fra UNI•Logins autorisationsstyring, men kan fx være brugertype (lærer/ elev), institutionsnummer, cpr-nummer eller klasse/hold.

UNI•Login udvikles og vedligeholdes i Styrelsen for It og Læring.

UNI•Login – klassifikation, ansvar, indsamling og kontrol

UNI•Login

Styrelsen for It og Læring stiller som databehandler den digitale identifikationsløsning UNI•Login til rådighed for institutionerne på undervisningsområdet til brug for styring af elevers, forældres og medarbejderes adgangsrettigheder til pædagogiske og administrative tjenester. UNI•Login bruges som identifikationsløsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v. Endvidere bruges UNI•Login i institutionernes egne lokale løsninger, såsom digitale læremidler og digitale lærings- og samarbejdsløsninger.

Da UNI•Login anvendes til styring af adgangsrettigheder – f.eks. i forbindelse med digitale prøver – er det vigtigt, at der kan ske en entydig identifikation af den pågældende bruger.

Dataklassifikation

De oplysninger, der behandles i UNI•Login-systemet, er alene almindelige personoplysninger: Dvs. identifikationsoplysninger om bl.a. navn, adresse, telefonnumre, e-mail, cpr-numre, uddannelsesoplysninger (f.eks. skole, afdeling, klasse) om elever og kontaktpersoner (f.eks. forældre eller værger) samt om medarbejdere ved institutionerne. Der behandles ikke følsomme personoplysninger i UNI•Login-systemet.

Dataansvarlig og databehandler

Den dataansvarliges ansvar

Institutionerne er dataansvarlige. Det er institutionens ansvar at sikre, at følsomme personoplysninger eller private oplysninger ikke bliver registreret i UNI•Login-systemet. Det er ligeledes institutionen der står for styring og administration af tildeling af adgange og rettigheder til egne brugere samt den periodiske kontrol og revurdering af de tildelte adgange.

Institutionerne vedligeholder i overvejende grad UNI•Login via deres lokale skole- og studieadministrative systemer. Tjenesteudbydere og offentlige myndigheder kobler sig på UNI•Login-systemet via standardiserede webservices. Hovedparten af tjenesteudbyderne, der tilkobler sig UNI•Login er private tjenesteudbydere, som efter aftale med institutionerne, via UNI•Login, anvender institutionernes data til de formål, der er aftalt med institutionen. Et eksempel på en tjenesteudbyder er et forlag, som anvender oplysninger om elever og læreres navne og klassetilhørs-forhold i deres digitale løsning.

UNI•Login-systemet er indrettet således, at en administrator fra hver institution i systemet skal markere, hvilke tjenester UNI•Login skal kunne bruges som digital identifikationsløsning i forhold til, og derved få adgang til oplysningerne i UNI•Login. Tilsvarende kan en rettighed let fjernes igen, ligesom den enkelte skole let kan få et overblik over, hvilke tjenester, der er tildelt rettigheder. Ud over markeringen, skal den enkelte institution indgå en databehandleraftale med den tjenesteudbyder (eksempelvis et forlag) der skal anvende identifikationsløsningen.

Den enkelte institution skal jf. ”Lov om ændring af lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse m.v., lov om institutioner for erhvervsrettet uddannelse og forskellige andre love” § 15 g ikke indgå en databehandleraftale med Styrelsen for It og Læring.

Databehandlerens ansvar

Som databehandler forpligter Styrelsen for It og læring sig til at overholde Persondatalovens bestemmelser om behandling af personoplysninger jævnfør bestemmelserne i lov nr. 429 af 31. maj 2000.

Som databehandler handler Styrelsen for It og Læring alene efter instruks fra den dataansvarlige institution jf. Persondatalovens paragraf 41,stk. 1. Det er således Styrelsen for It og Lærings ansvar at træffe de i Personlovens paragraf 41, stk. 3 nævnte tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes.

Endvidere skal Styrelsen for It og Læring sikre, at personoplysningerne ikke kommer til uvedkommendes kendskab, misbrug eller behandles i strid med reglerne i Persondataloven. Herunder er det Styrelsen for It og Lærings ansvar at sikre, at der kun tildeles adgang til Styrelsen for It og Lærings personale ud fra et arbejdsbetinget behov.

Reglerne for behandlingssikkerheden er udmøntet i Datatilsynets Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning udarbejdet d. 22. marts 2001, samt ”Bekendtgørelse om ændring af bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige sektor” af 22. marts 2001, der begge ligeledes gælder for databehandler jf. bekendtgørelsens paragraf 7.

Såfremt Styrelsen for It og Læring benytter underleverandører hæfter Styrelsen for It og Læring for underleverandørers forhold på samme måde som for egne forhold. Al kommunikation mellem den dataansvar-lige og underleverandører foretages via Styrelsen for It og Læring. Styrelsen for It og Læring skal påse, at underleverandører træffer de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, og skal føre kontrol med underleverandørens informationssikkerhedsstyring.

Styrelsen for It og Læring implementerer nødvendige og tilstrækkelige sikkerhedsforanstaltninger med udgangspunkt i en it-risikovurdering, ISO27001 samt lovgivningsmæssige krav. Styrelsen for It og Læring foretager løbende vurderinger af, om trusselsbilledet ændrer sig og foretager på baggrund heraf eventuelle justeringer af sikkerhedsforanstaltningerne.

Databehandlers anvendelse af oplysninger fra UNI•Login

Styrelsen for It og Læring kan anvende oplysninger fra UNI•Login i de tilfælde, hvor en sådan anvendelse er fastsat ved lov eller bekendtgørelse, til statistikformål, complianceanalyser, lovbestemt afrapportering og lignende. I det omfang Styrelsen for It og Læring anvender personoplysninger til egne formål, bliver Styrelsen for It og Læring dataansvarlig for disse anvendelser.

Kontrol af databehandleren

Rigsrevisionen kontrollerer Styrelsen for It og Lærings informationssikkerhedsstyring herunder kontrollen af eventuelle underleverandører. Styrelsen for It og Lærings Kontor For It-sikkerhed og Databeskyttelse foretager derudover et årligt sikkerhedseftersyn af UNI•Login-systemet.

Styrelsen for It og Læring skal endvidere på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, jf. punkt 7 i Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001. Dette vil ske ved henvisning til Rigsrevisionens årsberetning, hvor eventuelle anmærkninger vil fremgå samt ved henvisning til Styrelsen for It og Lærings hjemmeside, hvor Styrelsens årlige sikkerhedseftersyn offentliggøres.

Bag om systemet

Brugerne skal blot huske et brugernavn og en adgangskode for at kunne bruge UNI•Login. UNI•Login suppleres i nogle tilfælde med NemID.

Når brugeren logger på en tjeneste med sit UNI•Login, bliver hun ’autentificeret’, dvs. systemet dokumenterer over for tjenesten, at brugeren er den, hun siger, hun er.

Autentifikation omfatter:
  • UNI•Login autentifikation af medarbejdere og elever
  • UNI•Login med NemID
  • UNI•Login autentifikation af forældre
Autorisation omfatter:
  • UNI•Sync – til datasynkronisering (ws99)
  • Autorisationsstyring (ws05/wsiAUTOR)
  • Licensstyring (ws03/wsaLICENS)
  • Administration af projektgrupper (ws15/wsaGRUPPE)
  • Information om projektgrupper, deres medlemmer og licenser (ws16 /wsiUDBYDER)
  • Information om grupper, deres medlemmer og licenser (ws22/wsiINST)
  • Information om slutbrugers kontaktpersoner (ws71/wsiBRUGER)
Brugeradministration omfatter:
  • Ændring af brugeroplysninger (adgangskode, e-mailadresse og mobiltelefonnummer) i UNI•Login (ws09)
Import og eksport omfatter:
  • UNI•Login Eksport (ws17/wsiEKSPORT)
  • UNI•Login Import (ws10/wsaIMPORT)
  • UNI•Sync – UNI•Login til lokalnettet (ws04)
Grafiske brugergrænseflader (GUI’s)
Sidst opdateret: 7. juni 2017